WAF製品の比較25選 | 選び方や導入のポイントも解説

最終更新日: 2020-12-10

記事の情報は最終更新日時点のものです。

近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された22製品を比較するとともに、選び方のコツや、WAF導入のポイントを解説します。

【無料特典】機能・価格比較表つきサービス資料

特典：機能・価格比較表

WAFの各サービス資料を厳選。無料でダウンロード可能です。

目次を閉じる

WAF製品の紹介をご覧になりたいかたはこちらからどうぞ

WAFとは

それではWAFの概要を簡単に紹介します。

下の記事では本記事以上にていねいにWAFを紹介しています。詳しく知りたい方は下の記事をぜひご覧ください。

WAFとは - 仕組み | ファイアウォール・IPS/IDSとの違い、種類 | ボクシルマガジン

WAFとは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。WAFの仕...

詳細を見る

WAF
WAF（Web Application Firewall）とは、ウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。セキュリティの中でもWAFは、Webサイトの運営側と利用者側の間で、ウィルスや不正アクセスを防ぐという特徴があります。

WAFは文字どおり、Webアプリケーションにおいて活躍するセキュリティです。
Webアプリケーションといってもスマホのようなアプリを指すのではなく、いわゆるWebサイトのことをいいます。
Webサイトとユーザー間のぜい弱性につけこんで行われる不正なアクセスなどを、WAFは防ぎます。

では、実際にどのようなWAF製品があるのかでしょうか。
ここからは、よく利用されているWAF製品について見ていきましょう。

【厳選】WAF製品15選

近年導入数が増えているWAFですが、きちんと効果を得るためには最適な製品選びが重要です。
自社に合った製品を見つけるために、タイプによって異なる特徴を理解し、製品の比較ポイントを確認しましょう。

攻撃遮断くん - 株式会社サイバーセキュリティクラウド

攻撃遮断くん - 株式会社サイバーセキュリティクラウド画像出典：攻撃遮断くん公式サイト

国内トップクラスのシェア
低価格・高セキュリティを実現
業界で唯一サイバー保険を付帯

攻撃遮断くんは、WebサーバやWebサイトへのサイバー攻撃を遮断し、それらの攻撃などの脅威から企業とユーザーを守ります。最短翌営業日から導入が可能で、保守・運用に一切の手間も必要なく利用できるセキュリティサービスです。

国内トップクラスのシェアを持ち、業界で唯一クラウド型WAFにサイバー保険を付帯しているサービスです。

詳細はこちら

AIONCLOUD（エーアイオンクラウド） - 株式会社モニタラップ

AIONCLOUD - 株式会社モニタラップ画像出典：AIONCLOUD公式サイト

直感的なUIで、シンプルな管理機能
世界レベルの脅威情報共有基盤
月々4,000円～、圧倒的な低コスト

AIONCLOUDは、累積出荷台数15,000台の実績を誇るクラウド型WAFサービスです。ウェブサイトのトラフィックや訪問回数、受けた攻撃などの詳細なステータスをリアルタイムで監視でき、あらゆる攻撃からウェブサイトを保護します。マルウェアを検出した場合は素早い対応で拡大を防止し、脅威を学習することで未知の不正に対してもセキュリティ保護ができます。また、世界40ヵ所のIDCにサービスインフラを保有し、脅威インテリジェントを自動で更新し続けます。

詳細はこちら

XG Firewall（エックスジーファイアウォール） - 株式会社ジャパンコンピューターサービス

XG Firewall - 株式会社ジャパンコンピューターサービス画像出典：XG Firewall公式サイト

単一のコンソールですべてのSophos製品を管理
Intercept Xとのリアルタイム統合が可能
大企業から教育機関まであらゆる環境に適応

XG Firewallは、業界初の独自のセキュリティ機能を兼ね備えた次世代ファイアウォールです。専用アプライアンスによる柔軟性、接続性、信頼性を備え、多彩な機種で利用できます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現し、オールインワンでの保護が可能です。大企業や教育機関といったさまざまな環境に対応しており、ユーザーごとの規模感にあわせた機能と価格で利用できるので、コスト削減にもつながります。

詳細はこちら

Deep Security(R) IT Protection Service（ディープセキュリティアイティープロテクションサービス） - 株式会社シーイーシー

Deep SecurityR IT Protection Service - 株式会社シーイーシー画像出典：Deep Security（R） IT Protection Service公式サイト

オールインワンでセキュリティ対策
セキュリティ業務の一部委託が可能、自社の負担を軽減
最短3営業日で導入可能

Deep Security（R） IT Protection Serviceは、さまざまなセキュリティ対策をオールインワンで対応するクラウドサービスです。セキュリティルールやシグネチャは毎日配信され、最新の脅威に関する情報は毎週自動で生成・配布されます。一部セキュリティ業務を代行するサービスも用意されており、保護対象サーバーの設定やセキュリティ状況の調査、定例オペレーションなど自社の業務負担の軽減が期待できます。また、オプションでオートスケール機能により追加されたサーバーを保護したり、ログやアラート機能の設定も追加可能です。

詳細はこちら

secuWAF（セキュワフ） - 株式会社セキュアイノベーション

secuWAF - 株式会社セキュアイノベーション画像出典：secuWAF（セキュワフ）公式サイト

自動でアップデートされる強力なセキュリティ機能
WAF以外のセキュリティ対策も搭載
一般的なクラウドWAFと比べセキュリティ機能が充実

secuWAF（セキュワフ）は、強力なセキュリティ機能と自動アップデートにより、常に最新の脅威に対応するクラウドWAFです。WAF冗長構成やIPブラックリストなど、一般的なクラウドWAFではオプションとなっているような機能もデフォルトで利用できます。また、WAF以外のセキュリティ対策も選定プランや機能によっては設定可能なため、Webサイトのセキュリティをより磐石なものにします。

詳細はこちら

Barracuda Web Application Firewall - バラクーダネットワークスジャパン株式会社

画像出典： Barracuda Web Application Firewall 公式サイト

短時間でXSS/SQLインジェクション対策完了
L7 DDoS、IPレピュテーション対策が可能
日本語化された見やすいインターフェース

Barracuda Web Application Firewallは、WAFの国内販売台数シェアNo.1の実績を誇るサービスで、構成に合わせて複数の導入方式を選べます。短時間、低価格でWebアプリケーションを脅威から守り、Webサービスのセキュリティを極限まで向上させます。

詳細はこちら

マネージドセキュリティサービス for Imperva Incapsula

専門アナリストによるアラート分析
レポートでセキュリティ情報把握
チューニング設定代行で負荷軽減

マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。

アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。

詳細はこちら

Cloudbric

Webサイト保護に必要なすべてのセキュリティ機能を提供
ユーザーフレンドリーな仕様
データセンターで管理するため災害にも強い

Cloudbricは、保護されていないWebサイトのためのセキュリティサービスです。セキュリティの専門家やITシステムの管理者でなくても使える直観的なユーザーインターフェースを用意しています。

より安心に保護できる無料SSL証明書の提供を開始し、論理演算基盤のエンジンの採用により、高精度な検知と遮断を実現しています。
リーズナブルな価格で高度なセキュリティソリューションを利用できるサービスです。

SSL証明書：SSL暗号化通信と呼ばれる、個人情報やカード情報などのプライバシーを保護する通信が可能だということを証明するWeb証明書

詳細はこちら

SCT SECURE クラウドWAF EXP

ポリシーチューニングが簡単にできる
短期間の急激なアクセス増加にも対応可能
コンテンツキャッシュ機能

SCT SECURE クラウドWAF EXPは、Webアプリケーションへの攻撃やDDoS攻撃を防ぎます。WAFポリシー推奨機能を搭載しており簡単にポリシーチューニングができます。ネットワークが安定しているので短期間の急激なアクセス増加にも対応可能です。WAF機能に加えコンテンツキャッシュ機能を搭載しているため、Webサーバへの負荷が軽減されます。

詳細はこちら

AEGIS Security Systems

NATO指定ベンダーへの供給実績あり
工事・運用が不要なクラウドサービス
オールインワンで幅広い守備範囲を防御

AEGIS Security Systemsは、クラウド型で24時間監視します。クラウドサービスによる防御システムであるため、工事や運用などの作業や追加料金は不要です。独自のノウハウが蓄積されたシグネチャを用いて守備範囲をオールインワンで防御します。

詳細はこちら

サイト専用型WAF：WAF BENKEI

サイト別に専用WAFサーバーを構築が可能
無料トライアル2週間でお試しが可能
スモールスタートがしやすいプラン設定

WAF BENKEIとは、サーバ・Webサイトをサイバー攻撃から守るクラウド型WAFセキュリティサービスです。従来からあるセキュリティ対策製品とは違い、ハードウェアやサーバの構築が不要で導入がしやすく、また運用の手間もかからないことが最大の特徴です。防御できるサイバー攻撃は、クロスサイトスクリプティング・SQLインジェクション・ディレクトリトラバーサルなど多彩な手口に対応しています。

詳細はこちら

シマンテッククラウド型WAF

最新のぜい弱性対策を常に反映
緊急パッチ対応の軽減
明確で安価な利用料金

シマンテッククラウド型WAFは、 SaaS/ASPのサービスで、ウェブアプリケーションファイアウォールの機能を提供しています。SSLサーバ証明書でウェブサイトとの通信を安全に行うようにするだけでなく、情報漏えいを防ぐ手段としてクラウド型のWAFを提供しています。

ウェブサイトセキュリティの強化と予算の平準化というメリットが得られます。

シマンテッククラウド型WAFの詳細はこちら

Incapsula（インカプスーラ）

強力なボット検知力と動的な攻撃学習能力でWeb攻撃を撃退
Webのユーザー体験に影響を与えることなくDOS攻撃を排除
アプリケーションのパフォーマンスを高速化

Incapsulaは、クラウドから高品質のWeb アプリケーション・ファイアウォールを提供しており、Webサイトダウンの機会損失を低減してくれます。PCI DSSレベル1認定を受けたWebアプリケーション・ファイアウォールで、ハッカーやボットを強力に防御します。

また、高品質のコンテンツ・デリバリ・ネットワークが、Web サイトのパフォーマンスを向上させます。

Incapsulaの詳細はこちら

TrustShelter（トラストシェルター）

セキュリティ専門家によるマネージドサービス
要望に合わせた5種類のサービスを用意
短時間、低コストでの導入を実現

TrustShelterは、Web不正通信可視化などによりWebサイトをサイバー攻撃から守ります。また、マイナンバーを管理するデータベースやファイルサーバーに対してのセキュリティ対策にも対応可能です。短時間、低コストに加え要望に合わせて5種類のサービスを用意しているため、幅広い対応が可能です。

TrustShelterの詳細はこちら

SiteGuard（サイトガード）

専門家が認めた高い防御性能
チューニング済みの攻撃パターンファイルの標準搭載
純国産なので日本語に完全対応

SiteGuardは、Webサイト改ざんやWebアプリケーションのぜい弱性を狙うサイバー攻撃を防御するWAFソフトウェアです。

複数機能を併用してWebサイトの安全性を確保する防御機能と、すべて日本語に対応した管理機能を備えており、ネットワーク環境や要件に合わせて選べる2種類のラインナップを用意しています。

SiteGuardの詳細はこちら

【おすすめ】WAF製品10選

WALLC

Webアプリケーション層における対策
OS・ミドルウェアのぜい弱性の確認・セキュリティ対策
クラウド型/Saas/ASP型の提供

WALLCは、Webアプリケーションのぜい弱性の悪用した攻撃を防御するためのセキュリティ対策ツールです。
Webアプリケーションへの攻撃としてよく挙げられるSQLインジェクションやクロスサイトスクリプティング（XSS）などの脅威に対して、セキュリティ対策可能です。
また、情報漏えいやWeb改ざんなどの脅威からセキュリティ対策可能であり、法人サイトを有している企業におすすめです。

WALLCの詳細はこちら

CDN solutions Cloud-WAF

キャパシティプランニングや高価なWAF専用ハードウェアの導入が不要
セキュリティを向上しつつWebサイトのパフォーマンスが改善
アプリケーションレイヤに対する攻撃を防御

CDN solutions Cloud-WAFは、SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなどの攻撃から防御します。PCI DSSの取得要件の一部を満たすことが可能で、1GbpsまでのDDOS対策を標準機能として提供しています。

さらに専用ハードウェアの導入が不要なので時間やコストの削減が実現できます。

CDN solutions Cloud-WAFの詳細はこちら

SHIELD Webセキュリティ・オンデマンドサービス

セキュアなWebアクセス環境を実現
Webサイトに対する攻撃を検知・ブロック
30日間のフリートライアルもあり

SHIELDは、Web経由のウイルス／スパイウェア感染予防、サイト閲覧制限を行うSaaS型サービスです。ウイルスからのユーザーの保護や攻撃からのWebサイト自体の保護など、利用目的に沿って2種類の機能が選べます。

SHIELDの詳細はこちら

SmartCloud

自由度の高いサービスの提供
長年培ったキャリアグレードの信頼と実績
ITIL V3をベースとしたライフサイクル・アプローチ

SmartCloudは、「コンサルティング」から「計画策定」「迅速な構築」「確実な移行」「最適な運用」まで、長期に渡りシステムを企業のIT基盤として提供するクラウド・サービスです。基幹システムを搭載可能なエンタープライズ向けクラウド・プラットフォームとして、課題を解決するだけでなく、新たなビジネス価値を創造するクラウド・サービスを提供しています。

SmartCloudの詳細はこちら

スキュータム

ユーザ認証に関する脅威も防御
国内のSaaS型WAF市場シェア連続No.1
個人情報/顧客情報の流出・改ざん防止に最適

スキュータムは、SQLインジェクションやクロスサイトスクリプティングに代表されるWebアプリケーションのぜい弱性から顧客を守る、世界初のクラウド型（SaaS型）Webアプリケーションファイアウォール（WAF）サービスです。
小規模サイトからクラウドコンピューティング環境まで柔軟に対応したWebセキュリティが低価格で利用できます。

スキュータムの詳細はこちら

FortiWeb

広範なWAFスループット
相関性のある複数の脅威検知メソッドを活用
一元化された管理と管理ドメイン（ADOM）

FortiWebは、Webアプリケーションに対する脅威に特化した多層防御機能を提供しています。さらにWebベースのアプリケーションやインターネットを介してやりとりされるデータを攻撃や侵害から保護しており、多数の巧妙な脅威に対する双方向の保護を実現しています。

FortiWebの詳細はこちら

クラウドWAF セキュリティオペレーションサービス

低コスト＆カンタン導入でスモールスタートが可能
実績豊富なプロ集団による有人監視
自社内のオンプレミス環境や他者サービスも一元監視

クラウドWAF セキュリティオペレーションサービスは、DS/IPSやWAFといったセキュリティ監視機器を用いて、Webサイトを24時間365日体制で監視するサービスです。ECサイトの信頼性向上や、複数環境にまたがるグループ各社のWebサイトを一元監視できるというメリットが挙げられます。

クラウドWAF セキュリティオペレーションサービスの詳細はこちら

Limelight Cloud Security Services

Webサイトを守る多層防御を実現
Webサイトへの攻撃阻止によりブランド価値を維持
配信コンテンツの保護

Limelight Cloud Security Servicesは、悪意を持った攻撃およびコンテンツへの不正なアクセスからWebサイトを守る多層防御を実現、コンテンツを常時アクセス可能にし、攻撃から保護します。さらに配信コンテンツを保護しWebサイトへの攻撃を阻止することで、ブランド価値を維持します。

Limelight Cloud Security Servicesの詳細はこちら

InfoCage SiteShell

Webサーバに直接インストールする「ソフトウェア型WAF」
クラウド環境や仮想環境にマッチ
Webサイトへの不正アクセス/情報漏えい事故を防止

InfoCage SiteShellは、通常のファイアウォール、IDS/IPSでは防ぎきれない攻撃からWebサイトなどを守ります。

NECが提供する「 InfoCage SiteShell 」は、Webサーバに直接インストールする「ソフトウェア型WAF」で、クラウド環境や仮想環境にもマッチします。オンプレミス環境だけでなく、クラウド環境にも有効な防御ツールです。

InfoCage SiteShellの詳細はこちら

CLEARSWIFT SECURE Web Gateway

多様なフィルタリング機能
人為的ミスを最小限に抑える
独自のアダプティブリダクション搭載（オプション機能）

CLEARSWIFT SECURE Web Gatewayは、細かいポリシー設定が可能なWebの情報漏えい対策ソリューションです。Web経由の情報漏えい対策、ウイルス、スパイウェア対策、URLフィルタリング機能がオールインワンになっています。内容に応じて情報をコントロールし、データ漏えい、法的リスクや組織の評判を落とすリスクを最小限に抑えます。

CLEARSWIFT SECURE Web Gatewayの詳細はこちら

3つの提供形式

WAF製品が提供される形態にはさまざまな種類があります。代表的な3つのタイプのWAFを紹介します。

自社に合うタイプはどれか、違いを確認しながら最適なタイプを選んでください。

アプライアンス型

アプライアンス型は、ネットワーク上に設置するタイプのWAFです。
アプライアンスとは専用のハードウェアのこと。サーバーの動作環境や台数に関わらず環境構築ができる点が魅力です。大規模であれば、より高いコストパフォーマンスを得られます。

導入には機器の購入と初期設定が必要。他のタイプに比べてコストが高く、自社での運用が必須です。専任の人員とセキュリティ対策に十分な予算を確保できる企業向けのWAFと言えるでしょう。

ソフトウェア型

ソフトウェア型はWebサーバーにインストールするタイプのWAFです。
専用機器の購入などが不要で、アプライアンス型に比べるとコストを抑えることが可能。
またネットワーク構成の見直しが不要で、導入期間を短縮できる点も魅力です。

ただし、Webサーバーごとの導入となるため、稼動数が多い場合には不向き。運用も自社で行う必要があります。

クラウド型

クラウド型は月額または年額契約で導入可能なタイプのWAFです。
機器の購入は不要で、導入時はDNSの設定変更のみ。自社での運用も必要ありません。
低コスト・短納期で導入でき、運用コストの軽減も図れることから、他のタイプからクラウド型へ切り替える企業も増えています。

ただし利用するサービスによって、他のタイプよりも性能が劣る場合がある点には注意が必要。メリットを享受するためには、十分な事前検討が欠かせません。

WAF製品の比較ポイント

次はいよいよ製品選びの際にチェックしておきたいポイントです。
WAFを導入するにあたって何よりも大切なことは、自社に合った製品を選ぶこと。
数あるサービスの中から最適な製品を選ぶためのポイントを確認しておきましょう。

1. 初期費用と運用コスト

導入にかかる費用は、導入時の初期費用だけに目を奪われないよう注意が必要です。
なぜなら、自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースもあるからです。

導入と運用のトータルでのコストを比較しましょう。
自社での運用が必要な場合は、人的コストも忘れてはいけません。人員の数はもちろん、どの程度運用業務に専念する必要があるのかによってもコストは変わります。

また、単純に安ければ良いというわけではなく、性能やサービスとのバランスを見ることも大切です。

2. 導入後の拡張性

製品の性能を比べる際には、拡張性も意識しておきましょう。
Webサイトやシステムなどは、将来的に規模が大きくなる可能性があります。

その際、拡張性がないとWAFの運用が弊害となる可能性すらあります。自社の状況に合った製品を選ぶことは大切ですが、現在だけでなく将来も見据えた比較検討が必要です。

3. サポート体制の充実度

どんな製品・サービスにも共通して言えることではありますが、比較の際には導入後のサポート体制も大切な指標にしておくことをおすすめします。
性能は同様に思えても、サポート内容はセキュリティベンダーによってさまざまだからです。

特にWAFは、防御体制を常に最新の状態にしておくことが必要です。
たとえば、攻撃パターンをもとに不正アクセスを検知するブラックリスト方式であれば、シグネチャの定期的な調整が必要です。
また、安全が確認されている対象以外を排除するホワイトリスト方式であれば、パラメータの細かい設定が必要になります。

これらをどこまでサポートしてくれるのか。またそれ自体にも費用がかかるのかなど、サポート体制についてもしっかりと比較しましょう。